Facebook dankt entdeckte Sicherheitslücken und Schwachstellen mit Visa-Karten, die mit bis zu 5000 Dollar aufgeladen sind.

Facebook vergibt mit Geld aufgeladene Kreditkarten an nützliche Hacker. Das Netzwerk schreibt seit Mitte 2011 einen Finderlohn für Schwachstellen und Sicherheitslücken aus. Über das "White Hat Bug Bounty Program" erhalten Hacker, die Lücken melden, mindestens 500 Dollar. Weil Facebook aber nicht die einzige Firma mit einem solchen Belohnungsprogramm ist, hat man sich etwas besonderes einfallen lassen. "Forscher die Fehler finden und Verbesserungen vorschlagen, sind selten", sagt der zuständige Manager Cnet, "also müssen wir sie würdigen und Wege finden, sie zu belohnen."

Exklusive Eintrittskarte

Die Kreditkarte stammt von Visa und kommt in einem speziellen Design mit der Aufschrift "White Hat Bug Bounty Program". Sie kann wie eine herkömmliche Kreditkarte benutzt werden, ist zu Beginn aber mit einem Guthaben - dem Finderlohn - geladen. Außerdem diene die Karte als Erkennungsmerkmal und könne so etwa als Eintrittskarte zu bestimmten Veranstaltungen fungieren, erklärt der Facebook-Manager.

Der Finderlohn für Schwachstellen hat bei Facebook keine offizielle Obergrenze. Der höchste Betrag, der je vergeben wurde, waren 5000 Dollar. Bisher wurden 81 Hacker belohnt.

Find ich gut das sie wenigstens die Leute dafür belohnen, wenn sie schon so nett sind und die Schwachstelle preis geben

Ist klar das Facebook kein bock drauf hat das Leute Sicherheitslücken nutzen um Usern schaden zu können, deshalb find ich das an sich sehr gut "WhiteSheeps" dafür zu belohnen :)

Vitamin

Facebook ist nicht blöd, die Wissen genau was sie machen.

Facebook weiss schon, was sie machen müssen. ;)

Hätten die das mal früher gemacht. Da gab es eine schöne SQLi :(

lol cby, hoffst du nun auch auf 5k€? :D

Werden auch Sicherheitslücken auf Subdomains belohnt? Schließlich hatte ich dort mal mehr als nur 1 SQLi und XSS.
Laut facebook.com/whitehat werden Lücken in den Apps nicht ausbezahlt, wobei XSS in den Apps schlimmer als SQLi wären ;-)(Anderer Server, andere Datenbank)

Schwachstelle: Datenschutz. Bekomme ich jetzt ne Mille?


und könne so etwa als Eintrittskarte zu bestimmten Veranstaltungen fungieren, erklärt der Facebook-Manager. "Sie haben eine Goldene Eintrittskarte gewonnen - ThemeParkWorld" Als ob xD
Selbst wenn ichs so richtig drauf hätte würde ich aus Prinzip nicht helfen ;) - ihatefacebook

Die Idee ist doch nicht schlecht und bestimmt auch noch relativ günstig wie einen ITler anzustellen und auf der Lohnkarte zu haben, obwohl in den USA herrscht ja Hire&Fire. Ach was find das auf jedenfall gut, so können sich Leute mit bestimmten Hobbies etwas dazuverdienen eine wahre WinWin-Situation^^

Aber was ist eigentlich mit Anonymous, da war doch was mit Facebook???

Die Idee ist doch nicht schlecht
Aber schon uralt ;).

Aber was ist eigentlich mit Anonymous, da war doch was mit Facebook???
War ein Fake von einem "nicht-Anonymous" Mensch.

Werden auch Sicherheitslücken auf Subdomains belohnt? Schließlich hatte ich dort mal mehr als nur 1 SQLi und XSS.
Laut facebook.com/whitehat werden Lücken in den Apps nicht ausbezahlt, wobei XSS in den Apps schlimmer als SQLi wären ;-)(Anderer Server, andere Datenbank)

Subdomain -> anderer Security Context, keine XHRs ans eigentliche Facebook.
Nicht wirklich prickelnd


Schwachstelle: Datenschutz. Bekomme ich jetzt ne Mille?

Wo? Und nicht irgendeine die darauf beruht, dass jemand zu doof war die Securitysettings korrekt zu setzen.


War ein Fake von einem "nicht-Anonymous" Mensch.

Du hast Anonymous nicht verstanden.

Aber schon uralt ;).

War ein Fake von einem "nicht-Anonymous" Mensch.

Information am Rande -> War ein fake von einem Anon user, der sich aber gegen ganz Anon gestellt hat, mit der Aktion.

B2T -> Ja, ist öfters auch für so ein riesen Netzwerk, denke ich mal billiger, als mehrere Leute einzustellen, wobei sie sowieso welche haben. Aber so können sich Leute, die des als Hobby machen, oder irgendetwas Berufliches in der Hinsicht machen, gutes Geld dazu verdienen.

Ich denke das ist auf jeden Fall die richtige Handhabung damit, lieber so als versuchen jeden zu verknacken der nach Sicherheitslücken sucht.

Besser so, als das die Unternehmen nichts von den Lücken wissen, und daher kriminell ausgenutzt werden können.
So werden die Leute dafür belohnt, das Unternehmen vor Attacken bewahrt zu haben. Sollten meiner Meinung nach viel, viel mehr Unternehmen so machen, da man ja leider nicht selten zu lesen bekommt, dass die Hinweise unbeantwortet bleiben und die Lücken auch nach Wochen nicht geschlossen sind...

mfg,
dainless